分散型サービス拒否 (DDoS) 攻撃
分散型サービス拒否攻撃(DDoS)は、さまざまなマシンからの大量のトラフィックでオンラインサービスにアクセスできないようにする攻撃です。DDoS 攻撃は、サーバー、デバイス、データベース、ネットワーク、およびアプリケーションへのアクセスをブロックする可能性があります。
DDoS攻撃と標準的なサービス拒否攻撃の違いは、DDoS攻撃は1つのマシンではなく複数のマシンから発生することです。では、この攻撃がどのように行われるのかを見てみましょう。
DDoS 攻撃の仕組み
DDoS 攻撃は、次の項目で始まります。ボットネット。ボットネットとは、DDoS 攻撃やその他の悪用を目的とした悪意のあるソフトウェアに感染したコンピューターのネットワークです。ユーザーは、ソフトウェアやオペレーティングシステムの既知のエクスプロイトを利用して、フィッシングメール、感染したWebサイト、さらにはソーシャルネットワークを通じて、だまされて感染したソフトウェアをダウンロードさせる可能性があります。
これらのコンピューターが感染すると、ボットネットの「ラングラー」は、ユーザーの知らないうちに、1つのアプリケーションからリモートでこれらすべてのマシンを制御できます。ボットネットが十分に大きくなると、そのネットワークを使ってあらゆる標的に対する攻撃を仕掛けることができます。
ボットネットの準備が整うと、攻撃者は起動コマンドを送信して、ボットネット内のすべてのマシンから目的のターゲットに大量のリクエストを送信させることができます。攻撃が防御をすり抜けると、ほとんどのシステムをすぐに圧倒し、サービスが停止したり、サーバーがクラッシュしたりする可能性があります。
ボットネットを作成した攻撃者の多くは、オンラインマーケットプレイスやダークネットマーケットプレイスで有料のサービスを提供しているため、誰でもDDoS攻撃を仕掛けることができます。
DDoS 攻撃の種類
DDoS 攻撃は、攻撃者が何をしようとしているかに応じて、さまざまな形で発生します。主なカテゴリは、ボリュームベースの攻撃、プロトコル攻撃、アプリケーション層攻撃の 3 つです。
ボリュームベースの攻撃
このタイプの攻撃は、ターゲットとインターネットの間で利用可能なすべての帯域幅を使用しようとします。その方法の 1 つは増幅です。これは、なりすまされた IP アドレス (ターゲットの IP アドレス) で DNS サーバーにフラッディングすることです。これにより、ターゲットへの DNS 応答がはるかに大きくなります。SNMP プロトコルと NTP プロトコルはボリュームベースの攻撃にも使用されます。最終的に、ターゲットが受信した応答はネットワークを詰まらせ、着信トラフィックをブロックします。
プロトコル攻撃
プロトコル攻撃は、ロードバランサーやファイアウォールなどのネットワーク機器のリソースを使い果たしてサービスを中断させます。これらの攻撃は、プロトコルスタックのネットワーク層とデータリンク層を標的にします。プロトコル攻撃の 1 つは SYN フラッドと呼ばれます。この種の攻撃は TCP ハンドシェイクを利用してネットワークをフラッディングさせます。ボットネットは、なりすまし IP アドレスを使用して、大量の TCP 初期接続要求 SYN パケットをターゲットに送信します。ターゲットマシンのリソースは使い果たされ、決して起こらないこれらすべての要求の最終ステップを待ちます。
アプリケーション層攻撃
この種の DDoS 攻撃は、ネットワーク上で実行されているアプリケーション、特に HTTP リクエストに応答する Web アプリケーションを標的とします。HTTP リクエストはクライアントにとっては軽量ですが、レスポンスを生成するにはサーバーから大量のリソースが必要になることがあります。1 つのリクエストには、コードの実行、複数のイメージリクエスト、およびデータベースクエリが含まれる場合があります。アプリケーション層攻撃を使用するボットネットは、各ノードから同じウェブページを同時に攻撃するだけで、サーバーをダウンさせることができます。
DDoS 攻撃の症状
DDoS攻撃の兆候は、明らかに突然遅くなったり応答しなくなったりしたサイトやサービスが、すべての遅いサイトが攻撃されているわけではないことです。トラフィックの急増と正当なサーバーの問題が、同じような応答不能の原因となることがあります。
DDoS攻撃を受けているかどうかを判断するには、トラフィック分析ツールを使ってさらに調査し、どのような種類のトラフィックが発生しているのか、どこから来ているのか、どこに向かっているのかを判断する必要があります。DDoS 攻撃の兆候には次のようなものがあります。
- 単一の IP アドレスまたはアドレス範囲からの異常な量のトラフィック
- 1 日のうちの奇妙な時間帯、限られた時間帯、または特定のパターンに従って発生するトラフィックの異常な急増
- 1 つの Web ページまたはサービスへのトラフィックの突然のフラッド
- 位置情報、ブラウザバージョン、デバイスタイプなど、類似したプロファイルを持つユーザーからのトラフィックが殺到している
DDoS 攻撃の防止
DDoS 攻撃からネットワークを保護することは、簡単な作業ではありません。感染したシステムから駆除できるマルウェアやウイルスとは違います。DDoS 攻撃はネットワークの外部から発生し、詳細を調べるまでは通常のトラフィックのように見えることがあります。DDoS 攻撃はウェブサイトやサービスを数分で停止させる可能性があるため、DDoS 攻撃が検出されたら迅速に行動することが重要です。
ルーターのセキュリティを確保
ルーターはネットワークに出入りするゲートウェイです。ボットネット内のボットがルーターを通過できなければ、ルーター上のサービスに影響を与えることはできません。これは防御の最前線であり、トラフィックを優先度でフィルタリングし、脅威となるデータやトラフィックをブロックするように設定する必要があります。
セキュアな IoT デバイス
ラップトップや携帯電話を保護している人の多くは、IoT デバイスにデフォルトのパスワードを残すことをためらっていません。多くの IoT デバイスは完全な Linux オペレーティングシステムを実行しており、ボットネット内のボットとなるマルウェアの標的にされる可能性があり、その標的にもなっています。こうした理由から、これらのデバイスは格好のターゲットとなっています。IoT デバイスを強力なパスワードで保護することで、ボットネット内の別のボットになるのを防ぐことができます。
機械学習を使う
DDoS 攻撃の検出にはトラフィック分析が必要です。これを手動で行うことも可能ですが、機械学習技術では悪質なトラフィックを迅速に検出できます。トラフィックをリアルタイムで分析して、既知の DDoS パターンや異常がないかを調べることができます。また、疑わしいトラフィックは、サービスや Web サイトの速度を低下させる前にブロックできます。
結論
分散型サービス拒否攻撃またはDDoS攻撃は、システムに過負荷をかけるリクエストをWebサイトまたはサービスに殺到させることで、Webサイトまたはサービスへのアクセスをブロックしようとするものです。攻撃者は大量のマシンにマルウェアを感染させ、それを使って任意のサイトやサービスを標的にすることでこれを達成します。DDoS 攻撃のトラブルシューティングと防止は簡単ではなく、トラフィックの異常を分析する必要がありますが、適切なツールを使用すれば、DDoS 攻撃を軽視したり防止したりすることができます。